決済システムのセキュリティ対策強化
経済産業省が事務局を務める「第6回 クレジットカード決済システムのセキュリティ対策強化検討会」では、2023年1月20日に報告案がまとめられました。IPAの「情報セキュリティ10大脅威 2023」でも、個人への脅威の中でクレジットカードに関わるような個人情報関連が多数を占めています。
1位 フィッシングによる個人情報等の詐取
4位 クレジットカード情報の不正利用
8位 インターネット上のサービスからの個人情報の窃取
9位 インターネット上のサービスへの不正ログイン
今後クレジットカードを利用するサービスについては認証が強化されていくことになりますが、報告書にはリスクベース認証に加え利用者の行動分析などが含まれています。
今回は、そうした認証強化の背景と、セキュアブレインが提供するサービスとの関係についてお話ししたいと思います。
1.認証強化の背景
「クレジットカード決済システムのセキュリティ対策強化検討会報告書2023(案)」を引用しながら、認証強化が図られる背景について確認していきます。
日本は、2025年6月までにキャッシュレス決済比率を4割程度とすることを目指していますが、2021年には32.5%となり、今後も引き続き増加することが見込まれています。このキャッシュレス決済のうち、2021年においてはクレジットカードの取引が約9割(約85%)を占めています。また、コロナなどの背景もあり、2021年のECの市場規模は約21兆円にまで拡大している状況です。
クレジットカードの不正利用被害総額は近年増加傾向にあり、2021年には過去最高の330億円を超え、クレジットカード番号等の盗用の割合が94%となっています。多くがなりすましによる不正利用で、事業者からの漏洩だけでなく、メールやSMSなどのフィッシング、決済処理の仕組みを悪用したクレジットマスターによるものとなっています。
このような不正利用が増えている中で、以下の3点について対策を強化していく必要があるとされています。
(1)クレジットカード番号等を安全に管理する(漏えい防止)
(2)クレジットカード番号等を不正に利用させない(不正利用防止)
(3)クレジットの安全・安心な利用に関する周知・犯罪の抑止
このblogでは(2)の不正利用防止にフォーカスして述べていきます。
2.不正利用防止のポイント
不正利用防止という観点では、カードイシュアー、加盟店ともに本人認証強化が基本方針ですが、リスクベース認証に加え行動分析の精度向上も求められています。
リスクベース認証(Adaptive Authentication)は、システムのアクセスログなどから利用者の行動パターンを分析し、より確実に本人認証を行うための方式です。一般的には、地理情報、利用デバイス、時間帯、IPアドレスを用いて、普段の利用者の行動と比較し、異なる場合にリスクがあると判定して追加認証や取引遮断を行います。但し一般的な仕組みでは、過去に検知された端末等から得られた単純なブラックリストに依拠してしまい、不正利用を精度よく検知できなかったり、厳し目の判定をして正規利用でも追加認証等での手間が増えてしまったりすることで、対象サービス活用を妨げる方向に働いてしまいます。
3.セキュアブレインが提供出来るサービス
セキュアブレインでは「SecureBrain Scam Radar(セキュアブレイン・スキャムレーダー)BD」という不正取引をリアルタイムで検知する仕組みの開発・販売を行っています。
Scam Radar BDでは、端末の特徴情報等のブラックリストでの判定結果にとどまらず、犯罪者に特徴的な振る舞いでないか、利用者のサイト内での振る舞いも分析し、その結果を、リスクベース認証の判断材料として活用する事が出来ます。これにより、高精度に「そのままアクセス」「追加認証」「アクセス遮断」を振り分けられるようになります。
認証強化が図られていく一方で、攻撃者の高度化についても危惧されています。様々なセキュリティソリューションを組み合わせていくことで、より強固なサービス基盤を提供できるようになると思いますので、対策のひとつとしてご検討ください。
製品・サービスのお問い合わせは以下よりお願いします。
https://www.securebrain.co.jp/form/service/inquiry_input.html
